שיטות עבודה טובות עם OpenSSH

OpenSSH (פתח מעטפת מאובטחת) היא קבוצת יישומים המאפשרים תקשורת מוצפנת ברשת באמצעות ה- פרוטוקול SSH. הוא נוצר כחלופה חופשית ופתוחה לתוכנית Shell המאובטח, שהיא תוכנה קניינית. « ויקיפדיה.

חלק מהמשתמשים עשויים לחשוב כי יש להשתמש בשיטות עבודה טובות רק בשרתים וזה לא המקרה. הפצות רבות של GNU / Linux כוללות כברירת מחדל את OpenSSH ויש לזכור כמה דברים.

בטחון

אלה 6 הנקודות החשובות ביותר שיש לזכור בעת קביעת התצורה של SSH:

  1. השתמש בסיסמה חזקה.
  2. שנה את יציאת ברירת המחדל של SSH.
  3. השתמש תמיד בגרסה 2 של פרוטוקול SSH.
  4. השבת את הגישה לשורש.
  5. הגבל את הגישה של המשתמשים.
  6. השתמש באימות מפתח.
  7. אפשרויות אחרות

סיסמא חזקה

סיסמה טובה היא כזו המכילה תווים אלפאנומריים או מיוחדים, רווחים, אותיות גדולות וקטנות... וכו'. כאן ב DesdeLinux הצגנו מספר שיטות ליצירת סיסמאות טובות. יכול לבקר המאמר הזה y האחר הזה.

שנה את יציאת ברירת המחדל

יציאת ברירת המחדל עבור SSH היא 22. כדי לשנות אותה, כל שעלינו לעשות הוא לערוך את הקובץ / etc / ssh / sshd_config. אנו מחפשים את השורה שאומרת:

#Port 22

אנו מבטלים את ההערה ומשנים את ה- 22 למספר אחר .. לדוגמא:

Port 7022

כדי לדעת את היציאות שאיננו משתמשים במחשב / שרת שלנו אנו יכולים לבצע במסוף:

$ netstat -ntap

כעת כדי לגשת למחשב או לשרת שלנו עלינו לעשות זאת באמצעות האפשרות -p באופן הבא:

$ ssh -p 7022 usuario@servidor

השתמש בפרוטוקול 2

כדי לוודא שאנחנו משתמשים בגרסה 2 של פרוטוקול SSH, עלינו לערוך את הקובץ / etc / ssh / sshd_config וחפש את השורה שאומרת:

# פרוטוקול 2

אנו מבטלים את התגובה עליו ומפעילים מחדש את שירות SSH.

אל תאפשר גישה כשורש

כדי למנוע ממשתמש השורש לגשת מרחוק באמצעות SSH, אנו מסתכלים בקובץ/ etc / ssh / sshd_config השורה:

#PermitRootLogin no

ואנחנו מציבים את זה. אני חושב שכדאי להבהיר שלפני שעושים זאת עלינו לוודא שלמשתמשנו יש את ההרשאות הדרושות לביצוע משימות ניהוליות.

הגבל את הגישה של המשתמשים

זה גם לא כואב לאפשר גישה באמצעות SSH רק למשתמשים מהימנים מסוימים, ולכן אנו חוזרים לקובץ / etc / ssh / sshd_config ואנחנו מוסיפים את השורה:

AllowUsers elav usemoslinux kzkggaara

איפה שברור שהמשתמשים elav, usemoslinux ו- kzkggaara הם אלו שיוכלו לגשת אליהם.

השתמש באימות מפתח

למרות ששיטה זו היא המומלצת ביותר, עלינו לנקוט בזהירות מיוחדת מכיוון שניגש לשרת מבלי להזין את הסיסמה. המשמעות היא שאם משתמש מצליח להיכנס לסשן שלנו או שהמחשב נגנב, אנחנו עלולים להיות בבעיה. עם זאת, בואו נראה איך לעשות זאת.

הדבר הראשון הוא ליצור זוג מפתחות (ציבורי ופרטי):

ssh-keygen -t rsa -b 4096

לאחר מכן אנו מעבירים את המפתח למחשב / לשרת:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

לבסוף עלינו להיות חסרי תגובה, בקובץ / etc / ssh / sshd_config השורה:

AuthorizedKeysFile .ssh/authorized_keys

אפשרויות אחרות

תרומתו של יוקיטרו

אנו יכולים להפחית את זמן ההמתנה בו משתמש יכול להיכנס למערכת בהצלחה ל -30 שניות

LoginGraceTime 30

כדי להימנע מהתקפות ssh באמצעות TCP Spoofing, השארת צד ssh מוצפן בחיים למשך 3 דקות לכל היותר, אנו יכולים להפעיל את 3 האפשרויות הללו.

TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3

השבת את השימוש בקבצי רוסט או שוסט, שמטעמי אבטחה מתבקשים שלא להשתמש בהם.

התעלם מאכסנים כן התעלםמשתמש ידועמארחים כן רוסטים אימות לא רוסטים RSA אימות לא

בדוק את ההרשאות האפקטיביות של המשתמש במהלך הכניסה.

StrictModes yes

אפשר הפרדת הרשאות.

UsePrivilegeSeparation yes

מסקנות:

על ידי ביצוע צעדים אלה אנו יכולים להוסיף אבטחה נוספת למחשבים ולשרתים שלנו, אך אסור לנו לשכוח שיש גורם חשוב: מה בין הכיסא למקלדת. לכן אני ממליץ לקרוא המאמר הזה.

מקור: HowToForge


8 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   יוקיטרו דיג'ו

    פוסט מצוין @elav ואני מוסיף כמה דברים מעניינים:

    התחברות GraceTime 30

    זה מאפשר לנו להפחית את זמן ההמתנה שבו משתמש יכול להיכנס בהצלחה למערכת ל -30 שניות

    TCPKeepAlive לא
    ClientAlive Interval 60
    ClientAliveCountMax 3

    שלוש אפשרויות אלה שימושיות למדי כדי למנוע התקפות ssh באמצעות TCP Spoofing, מה שמותיר את המוצפנים בחיים בצד ה- ssh פעיל למשך 3 דקות לכל היותר.

    IgnoreRhsts כן
    IgnoreUserKnownHosts כן
    Rhosts אימות לא
    RhostsRSA אימות לא

    זה מבטל את השימוש בקבצי רוסטים או שוסטים, שמסיבות אבטחה קוראים שלא להשתמש בהם.

    StrictModes כן

    אפשרות זו משמשת לבדיקת ההרשאות האפקטיביות של המשתמש במהלך הכניסה.

    השתמש ב- PrivilegeSeparation כן

    אפשר הפרדת הרשאות.

    1.    אלב דיג'ו

      ובכן, בעוד זמן מה אערוך את ההודעה ואוסיף אותה להודעה 😀

  2.   אוג'ניו דיג'ו

    ביטול התייחסות כדי לא לשנות את הקו מיותר. השורות שהגיבו מציגות את ערך ברירת המחדל של כל אפשרות (קרא את ההבהרה בתחילת הקובץ עצמו). הגישה לשורש מושבתת כברירת מחדל וכו '. לפיכך, לביטול התגובה שלה אין שום השפעה.

    1.    אלב דיג'ו

      # האסטרטגיה המשמשת לאפשרויות ב- sshd_config המוגדרת כברירת מחדל
      # OpenSSH הוא לציין אפשרויות עם ערך ברירת המחדל שלהן היכן
      # אפשרי, אבל השאר אותם מגיבים. אפשרויות בלתי מוגבלות עוקפות את
      # ערך ברירת מחדל.

      כן, אבל לדוגמא, איך נדע שאנחנו משתמשים רק בגרסה 2 של הפרוטוקול? מכיוון שאנחנו בהחלט יכולים להשתמש ב -1 ו -2 בו זמנית. כפי שאומר בשורה האחרונה, ביטול התייחסות לאפשרות זו למשל, מחליף את אפשרות ברירת המחדל. אם אנו משתמשים בגרסה 2 כברירת מחדל, בסדר, אם לא, אנו משתמשים בה YES או YES 😀

      תודה על התגובה

  3.   סלי דיג'ו

    מאמר טוב מאוד, ידעתי כמה דברים אבל דבר אחד שמעולם לא ברור לי הוא השימוש במקשים, באמת מה הם ואילו יתרונות יש לו, אם אני משתמש במקשים אני יכול להשתמש בסיסמאות ??? אם כן, מדוע זה מגביר את האבטחה ואם לא, כיצד אוכל לגשת אליו ממחשב אחר?

  4.   עדיאן דיג'ו

    ברכות, התקנתי את דביאן 8.1 ואני לא יכול להתחבר ממחשב Windows ל- Debian עם WINSCP, האם אצטרך להשתמש בפרוטוקול 1? כל עזרה .. תודה
    עדיאן

  5.   פרנקסנבריה דיג'ו

    יתכן שתהיה מעוניין בסרטון זה על openssh https://m.youtube.com/watch?v=uyMb8uq6L54

  6.   אָרִיחַ דיג'ו

    אני רוצה לנסות כמה דברים כאן, כמה שכבר ניסיתי בזכות ה- Arch Wiki, אחרים בגלל עצלות או חוסר ידע. אני אשמור אותו כשאפתח את ה- RPi שלי